社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 社区论坛任务 迷你宠物
  • 3094阅读
  • 5回复

网站暗藏木马能奈之我何

级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
实现在很多人说到挂马,还是比较担心自己的安全,毕竟现在太多的牛人来打造免杀木马,但是我却不把这些木马放在眼里,为什么?听我细细道来,一个木马下载到本地,运行并且关联到注册表中,前提还是一个权限问题,其实很多木马本身就不具备权限这个概念,完全是依赖你系统用户的权限来运行,调用木马的用户具备什么权限那么木马本身就具备什么权限,这个道理我想大家都明白吧。 0?$|F0U"J  
这里牵扯到一个权限依赖的问题,举个简单的例子,一个恶意网页,用一个具有管理员权限的用户去访问马上就中,但是用一个游客用户去访问却什么事都没有,这就是所谓的权限依赖问题。 |;NfH|43;  
la<.B^  
大家现在应该清楚我不怕网站挂马的原因了吧,就是利用权限来防御,我在这里建议大家上网时最好不要用具有管理员权限的用户,但是你硬要使用也可以,但是你要设置一番,设置两个具有管理员权限的用户,一个用来安装程序,一个用来上网,安装程序的那个用户不用设置什么权限,但是上网的这个用户却要好好设置一番了,Windows目录(只是windows本身的目录不包括子目录)及system和system32目录设置上网的那个用户只具备读取权限,这个用意我想大家都清楚吧,然后是注册表的权限,设置注册表权限也是一个重点, .KKecdd?=  
r QiRhp  
1iY4|j;ahV  
注意:2000的注册表权限设置和XP/2003不一样。另外还有一些键值。 #WZat ?-N  
%W9R08`  
HKEY_CLASSES_ROOT\exefile\shell\open\command ~<!j]@.  
e1a\ --  
HKEY_CLASSES_ROOT\txtfile\shell\open\command O6NH  
w^Y/J4 I0  
HKEY_CLASSES_ROOT\inffile\shell\open\command !O%!A<3  
%:'G={G`QH  
HKEY_CLASSES_ROOT\inifile\shell\open\command yVnG+R&  
!*Is0``  
以上4个键值是一些常用文件的关联。 MoN0w.V  
lGr=I-=  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced V K6D  
\Folder\Hidden\SHOWALL m6[}KkW  
Y>w7%N  
这个键值是关于系统隐藏属性的。 lXTE#,XVf  
X PyDZk/m  
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main HhQ0>  
jbipNgxkr  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main `2]0 X#R  
V3ht:>c9qs  
这两个键值是系统默认主页的。 1v|-+p42  
VA[EY`8  
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel Hc'Pp{| X  
@U8u6JNK'  
这个键值是关于使更改默认主页按钮为灰色不可用的。 JWd[zJ[  
mq[=,,#  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 0Q a 0  
Y]L4,V  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce avq$aq(3&  
`sqr>QD  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 0#OyT'~V%  
<~5O-.G]  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce F:q4cfL6  
D%]S>g5k  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 'Z~ZSu  
U4=l`{5on  
以上键值是关于自启动文件的。 f2x!cL|Kx?  
'27$x&6>S  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services xx!8cvD4?  
SPE)db3  
这个键值是关于系统服务的。以上这些键值在你对系统设置好以后再去取消用户的完全控制权限,只给予用户读取权限这只是一部分,比较常见的,当然不是全部。如果大家还有什么其他的见解请请一起来讨论下吧。 v^@)&,  
H9)n<r  
其实不知道大家注意到没有,对于一些顽固的文件也可以用权限限制来进行删除,比如在正常模式及安全模式下都无法删除的文件,但是在这些文件在DOS下却很容易就删除了,原理很简单,那就是系统在启动时是用户本身或系统去调用那个文件导致删除不成功,但是我们不允许任何用户去访问这个文件呢,先把这个文件的全部访问用户都删除,然后重起后再给予这个文件用户的完全控制权限来进行删除,有的文件在注销后就可以删除了,但是我在这里还是建议大家重起后再进行删除。
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 1 发表于: 2006-09-17
没人顶 我自己顶 \ji\r]k  
~
级别: 经院高中
发帖
369
铜板
3800
人品值
215
贡献值
0
交易币
0
好评度
305
信誉值
0
金币
0
所在楼道
只看该作者 2 发表于: 2006-09-22
被动....
级别: 大掌柜
发帖
7343
铜板
6618
人品值
1388
贡献值
28
交易币
100
好评度
7488
信誉值
10
金币
0
所在楼道
学一楼
只看该作者 3 发表于: 2006-09-23
引用
引用第2楼jackal2006-09-22 01:16发表的“”: 'Hx#DhiFz  
被动....
>`UqS`YQK  
天天隐身了你
级别: 经院高中
发帖
369
铜板
3800
人品值
215
贡献值
0
交易币
0
好评度
305
信誉值
0
金币
0
所在楼道
只看该作者 4 发表于: 2006-10-21
偶天天没隐身。。只是你睡觉的时候上线而已。。
级别: 经院大学
发帖
582
铜板
27
人品值
283
贡献值
11
交易币
0
好评度
566
信誉值
0
金币
0
所在楼道
只看该作者 5 发表于: 2006-11-21
具有创新思维的帖子

格物 致知 诚意 正心 修身 齐家 治国 平天下
描述
快速回复

您目前还是游客,请 登录注册
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
认证码:
验证问题:
10+5=?,请输入中文答案:十五